DeathStalker: espionagem contra pequenas e médias empresas

Os especialistas da Kaspersky publicaram detalhes da atividade do DeathStalker, grupo de "mercenários" que usam uma ameaça persistente avançada (APT) para espionar pequenas e médias empresas do setor financeiro desde, pelo menos, 2012. As descobertas demonstram que o grupo tem atacado empresas em todo o mundo, desde a Europa à América Latina, o que evidencia a importância da implementação de medidas de cibersegurança em organizações com estruturas de segurança limitadas.

O DeathStalker é um grupo de aluguel que a Kaspersky rastreia desde 2018. Especializado em ciberespionagem contra escritórios de advocacia e organizações financeiras, esse grupo é conhecido pela sua alta adaptabilidade, e por usar uma abordagem interativa e rápida para desenvolvimento de software, o que torna o DeathStalker capaz de executar campanhas eficazes.

As recentes investigações da Kaspersky ligaram a atividade do DeathStalker a três famílias de malware - Powersing, Evilnum e Janicab -, o que mostra que a atividade do grupo está em prática desde, pelo menos, 2012. Embora o Powersing seja rastreado pelo fornecedor de segurança desde 2018, as outras duas famílias de malware foram reportadas por outros empresas de cibersegurança. A análise das semelhanças de código e perfil das vítimas entre as três famílias de malware permitiu aos analistas vinculá-los uns aos outros, com um grau de confiança médio.

As táticas, técnicas e procedimentos do grupo especializado em ciberameaças permaneceram inalterados ao longo dos anos: para entregar arquivos maliciosos, utilizam mensagens de phishing personalizadas. Quando a vítima clica no anexo, um script malicioso é executado e descarrega outros componentes do golpe. Isso permite que os atacantes ganhem controle sobre o computador atacado.

Um dos exemplos é a utilização do Powersing, um implante baseado no Power-Shell, que foi o primeiro malware detectado deste grupo especializado. Assim que o sistema da vítima é infectado, o malware é capaz de armazenar capturas de tela e executar outros scripts Powershell. Ele ainda utiliza diferentes métodos para se manter escondido no sistema, dependendo da solução de segurança que ele detecta no dispositivo infectado, o que demonstra a capacidade do grupo para realizar testes de detecção antes de cada campanha e atualizar os scripts de acordo com os resultados mais recentes.

Nas campanhas que utilizam Powersing, o DeathStalker emprega também um serviço público bem conhecido para se misturar às comunicações iniciais de backdoor no tráfego legítimo da rede, limitando, assim, a capacidade de detectar suas operações. Ao utilizar os "dead-drop resolvers" - anfitriões de informação que apontam para infraestruturas adicionais de comando e controle -, colocados numa variedade de meios de comunicação social legítimos, blogs e serviços de mensagens, o grupo consegue evitar a detecção e encerrar rapidamente uma campanha. Uma vez infectadas, as vítimas seriam contatadas e redirecionadas por estes resolvers, ocultando assim a cadeia de comunicação.

"O DeathStalker é um excelente exemplo de grupo especializado contra o qual as organizações do setor privado precisam se defender. Embora, frequentemente, nos concentremos em atividades de campanhas contra grandes empresas, o DeathStalker lembra-nos de que todas organizações precisam estar cientes que podem ser vítimas desses grupos especilizados. Além disso, a julgar pela atividade contínua, acreditamos que o DeathStalker continue a ser uma ameaça que utilizará novas ferramentas para manter seu ataque eficiente contra pequenas e médias organizações. Ele, de certa forma, é a prova de que as PMEs precisam investir em segurança e treinamentos de conscientização", afirma Ivan Kwiatkowski, pesquisador de segurança sênior da Kaspersky.

O analista aconselha as empresas a, sempre que possível, não utilizar as linguagens de scripting, tais como powershell.exe e cscript.exe. "Também recomendamos que, ao analisarem futuramente as soluções, verifiquem se elas protegem contra infecções baseadas em arquivos LNK (shortcut)", acrescenta Kwiatkowski.

A atividade do DeathStalker foi dectetada em todo o mundo, o que demonstra a dimensão das suas operações. Foram identificadas atividades relacionadas com Powersing na Argentina, China, Chipre, Israel, Líbano, Suíça, Taiwan, Turquia, Reino Unido e Emirados Árabes Unidos. A Kaspersky também localizou vítimas do Evilnum no Chipre, Índia, Líbano, Rússia, e Emirados Árabes Unidos. Mais informações sobre os Índices de Compromisso deste grupo, incluindo hashes de arquivos e servidores C2, estao disponíveis no Kaspersky Threat Intelligence Portal .

A fim de evitar ser vítima de um ataque direcionado, os especialistas da Kaspersky recomendam o seguinte:

• Proporcionar à equipe de Security Operations Center (SOC) o acesso às últimas informações sobre ciberameaças. O Portal Kaspersky Threat Intelligence é um ponto de acesso único para a equipe de TI e segurança consultem dados de ciberataques e tenham insights recolhidos pela Kaspersky ao longo de mais de 20 anos.

• Certificar que a proteção correta de endpoints está em vigor, como, por exemplo, a solução Kaspersky Endpoint Security . Ela combina a proteção com a funcionalidade sandbox e EDR, permitindo uma proteção eficaz contra ameaças avançadas e visibilidade imediata sobre a atividade maliciosa detectada nos dispositivos da empresa.

• Como muitos ataques direcionados começam com phishing ou outras técnicas de engenharia social, é essencial o treinamento de conscientização sobre segurança para toda a equipe. O Kaspersky Automated Security Awareness Platform pode ajudar.

Para acessar o relatório completo da Kaspersky sobre o DeathStalker, acesse o Securelist.com .

Sobre a Kaspersky

A Kaspersky é uma empresa internacional de cibersegurança fundada em 1997. Seu conhecimento detalhado de Threat Intelligence e especialização em segurança se transformam continuamente em soluções e serviços de segurança inovadores para proteger empresas, infraestruturas industriais, governos e consumidores finais do mundo inteiro. O abrangente portfólio de segurança da empresa inclui excelentes soluções de proteção de endpoints e muitas soluções e serviços de segurança especializada para combater ameaças digitais sofisticadas e em evolução. Mais de 400 milhões de usuários são protegidos pelas tecnologias da Kaspersky e ela ajuda 250.000 clientes corporativos a proteger o que é mais importante para eles.